‘에이전트재킹(Agentjacking)’ 등장: AI 코딩 에이전트를 노리는 신종 공격 기법
2026년 6월, 개발자들 사이에서 ‘AI 코딩 에이전트’를 악용해 개발자 PC에서 악성 코드를 실행시키는 새로운 공격 기법이 포착됐다. 이른바 ‘에이전트재킹(Agentjacking)’으로 불리는 이 공격은 별도의 악성코드나 자격증명 탈취 없이도, 개발자가 신뢰하는 AI 코딩 도구를 그대로 무기로 돌려세운다는 점에서 업계에 큰 경각심을 불러일으키고 있다.
에이전트재킹이란 무엇인가
이번에 확인된 공격은 오픈소스 에러 추적 플랫폼 ‘센트리(Sentry)’를 매개로 이뤄졌다. 센트리는 누구나 DSN(데이터 소스 이름)만 알면 임의의 이벤트를 전송할 수 있는 구조인데, 문제는 Claude Code나 Cursor 같은 AI 코딩 에이전트가 센트리 MCP 서버를 통해 전달받은 오류 보고서를 ‘신뢰할 수 있는 시스템 출력’으로 그대로 받아들인다는 점이다. 공격자는 이 허점을 이용해 조작된 가짜 에러 이벤트를 주입하고, AI 에이전트가 이를 정상적인 진단·수정 절차로 오인하도록 유도한다.
왜 위험한가 — 개발자 권한을 그대로 탈취
에이전트재킹의 가장 위협적인 지점은 별도의 악성 파일 다운로드나 피싱, 자격증명 탈취 과정이 전혀 필요 없다는 데 있다. 개발자가 평소처럼 AI 에이전트에게 ‘이 에러를 고쳐줘’라고 요청하는 순간, 에이전트는 공격자가 심어둔 코드를 개발자 자신의 권한과 자신의 컴퓨터에서 그대로 실행하게 된다. 이 과정에서 환경 변수, Git 자격증명, 비공개 저장소 URL, 개발자 신원 정보 등 민감한 데이터가 고스란히 노출될 수 있다. 더 심각한 점은 공격 대상이 특정 기업이나 개인으로 한정되지 않는다는 것이다. 공개 저장소나 공용 이슈 트래커, 오픈소스 협업 도구를 사용하는 조직이라면 누구나 잠재적 표적이 될 수 있어, 실제 피해 범위를 사전에 가늠하기 어렵다는 지적도 나온다.
AI 코딩 시대의 새로운 신뢰 경계 문제
기존 보안 모델은 ‘누가 코드를 실행하는가’에 초점을 맞춰왔지만, AI 에이전트는 다양한 외부 도구(MCP 서버, 이슈 트래커, 로그 시스템 등)가 반환하는 데이터를 사람 대신 자동으로 해석하고 실행 여부를 판단한다. 문제는 이 데이터의 출처가 실제로는 검증되지 않은 외부 입력일 수 있다는 점이다. 즉 AI 코딩 에이전트가 늘어날수록 ‘에이전트가 무엇을 신뢰하는가’라는 질문 자체가 새로운 공격 표면이 되고 있는 셈이다.
개발자와 기업이 지금 점검해야 할 것
보안 전문가들은 AI 코딩 에이전트를 도입한 조직이라면 다음 사항을 우선 점검할 것을 권고한다.
- MCP 서버 등 외부 도구가 반환하는 데이터를 실행 전 검증하는 별도 계층 마련
- 에이전트가 자동으로 명령을 실행하기 전 사람의 승인을 거치는 ‘휴먼 인 더 루프’ 단계 유지
- 에러 추적·이슈 트래커 등 외부 연동 서비스의 접근 권한과 DSN 노출 범위 재점검
- 에이전트 실행 환경의 환경 변수·자격증명을 최소 권한 원칙으로 격리
에이전트재킹 사례는 AI 코딩 도구가 개발 생산성을 크게 높이는 동시에, 그만큼 새로운 형태의 신뢰 남용 위험도 함께 가져온다는 사실을 보여준다. 편리함과 자동화 이면에 놓인 보안 설계가 앞으로 AI 개발 도구 생태계의 핵심 과제로 떠오를 전망이다.